Uw DORA-compliance checklist voor e-mailbeveiliging
Wat u moet weten over classificatie, versleuteling en datalekpreventie onder DORA.
De Digital Operational Resilience Act (DORA) is een belangrijke regelgeving die vanaf 17 januari 2025 van kracht is en zich richt op de veerkracht van ICT-systemen van financiële entiteiten. Het benadrukt sterke cybersecurity-praktijken die cruciaal zijn voor veilige informatie-uitwisseling, zowel direct als indirect via e-mail. Voor elke organisatie die afhankelijk is van e-mailcommunicatie is het essentieel om de specifieke DORA-vereisten te begrijpen. Dit artikel bespreekt de relevante DORA-bepalingen, met de nadruk op gegevensclassificatie, encryptie, ontvanger-authenticatie, leveringsbewijs en het voorkomen van dataverlies, inclusief door menselijke fouten.
Waarom e-mailbeveiliging een topprioriteit moet zijn voor financiële organisaties.
E-mail blijft het belangrijkste en meest gebruikte communicatiemiddel voor financiële instellingen, vooral bij interactie met externe klanten en partners. Naast het zijn van het primaire kanaal voor directe communicatie, ondersteunt e-mail ook veel diensten, zoals bestandsoverdracht, die afhankelijk zijn van e-mail voor verificatie en meldingen. E-mail is echter van nature onveilig—vergelijkbaar met het versturen van informatie op een ansichtkaart. Hoewel er encryptiestandaarden bestaan om e-mailinhoud te beschermen, worden deze technologieën vaak niet goed begrepen (TLS is niet veilig genoeg) of niet breed toegepast (DANE), waardoor gevoelige gegevens kwetsbaar blijven. Daarnaast is e-mail de grootste bron van digitale datalekken geworden. Meer dan 95% van deze datalekken is het gevolg van menselijke fouten, zoals het versturen van vertrouwelijke informatie naar de verkeerde ontvanger, het gebruik van CC in plaats van BCC, of het toevoegen van onbedoelde bijlagen. Het aanpakken van deze kwetsbaarheden door middel van robuuste e-mailbeveiligingsmaatregelen is cruciaal voor financiële organisaties, vooral gezien de gevoelige aard van de betrokken gegevens.
Classificatie van informatie
Een van de pijlers van DORA is de juiste classificatie van gegevens, zoals beschreven in artikel 6 - paragraaf 2 (Encryption and cryptographic controls), artikel 7 - paragraaf 2 (Cryptographic key management), artikel 13 – sub e (Network security management) en artikel 14, paragraaf 2 (Securing information in transit). Gegevensclassificatie is essentieel om ervoor te zorgen dat passende beschermingsmaatregelen worden genomen voor verschillende niveaus van informatie. Kritieke of belangrijke informatie vereist hogere beschermingsniveaus om ICT-risico's effectief te beperken. Door de waarde en gevoeligheid van de gedeelde informatie te beoordelen, kunnen entiteiten geschikte encryptieprotocollen en authenticatiemechanismen kiezen en zo het risico op ongeoorloofde toegang minimaliseren.
In e-mailcommunicatie is classificatie bijzonder belangrijk, omdat e-mail vaak het belangrijkste kanaal is waardoor gevoelige informatie de organisatie verlaat. Onjuiste classificatie of het niet correct classificeren van gegevens kan leiden tot ontoereikende beschermingsmaatregelen, waardoor kritieke financiële informatie gevaar loopt. Door ervoor te zorgen dat informatie correct wordt geclassificeerd, kunnen organisaties passende beveiligingsmaatregelen toepassen, zoals versleuteling en beperkte toegang, om gevoelige gegevens te beschermen tegen ongeoorloofde openbaarmaking. Het classificeren van informatie helpt organisaties ook om aan regelgeving te voldoen en zorgt ervoor dat gevoelige communicatie wordt behandeld op basis van het risiconiveau.
Encryptie van informatie
DORA legt grote nadruk op de encryptie van gegevens tijdens overdracht, in rust en in gebruik, zoals beschreven in Artikel 6, Encryption and cryptographic controls. Artikel 6, paragraaf 2 stelt dat een financiële entiteit beleid moet hebben dat "regels bevat voor al het volgende:
- de encryptie van gegevens in rust en tijdens overdracht;
- de encryptie van gegevens in gebruik, waar nodig;
- de encryptie van interne netwerkverbindingen en verkeer met externe partijen;
- het cryptografisch sleutelbeheer zoals bedoeld in artikel 7, waarin regels worden vastgelegd over het juiste gebruik, de bescherming en de levenscyclus van cryptografische sleutels."
Encryptie van informatie tijdens overdracht
Encryptie tijdens overdracht zorgt ervoor dat e-mails en hun bijlagen beschermd zijn tegen afluisteren of ongeoorloofde wijzigingen tijdens de transmissie. Dit is cruciaal voor het behoud van de vertrouwelijkheid en integriteit van gegevens bij communicatie met klanten of derden.
Artikel 9, lid 2 van DORA vereist dat financiële instellingen ICT-beveiligingsmaatregelen implementeren om de continuïteit en beschikbaarheid van kritieke systemen te waarborgen, waarbij hoge standaarden onder anderen voor bescherming van gegevens tijdens transit, centraal staan.
Artikel 14, Paragraaf 1, 'Securing Information in Transit', benadrukt dat "financiële entiteiten, als onderdeel van de maatregelen ter waarborging van de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens, beleid, procedures, protocollen en hulpmiddelen moeten ontwikkelen, documenteren en implementeren om informatie tijdens overdracht te beschermen."
Encryptie van informatie in rust
Voor gegevens in rust, zoals e-mails die zijn opgeslagen op mailservers, helpt encryptie ongeoorloofde toegang te voorkomen in geval van een datalek. Artikel 7 bepaalt ook dat financiële entiteiten beleid moeten vaststellen voor cryptografisch sleutelbeheer, waarbij wordt gewaarborgd dat encryptiesleutels veilig worden gegenereerd, opgeslagen en buiten gebruik worden gesteld, waardoor de kans op datacomplot wordt geminimaliseerd.
DORA stelt verder: "Financiële entiteiten nemen in het beleid inzake encryptie en cryptografische controles bepalingen op voor het bijwerken of wijzigen, waar nodig, van de cryptografische technologie op basis van ontwikkelingen in cryptanalyse" (Artikel 6, Paragraaf 4).
Authenticatie van ontvangers
Ontvanger-authenticatie is een ander belangrijk aspect dat door DORA wordt behandeld. Artikel 20, paragraaf 1 geeft de eis aan voor "beleid en procedures die zorgen voor de unieke identificatie en authenticatie van natuurlijke personen en systemen die toegang hebben tot de informatie van financiële entiteiten om toekenning van gebruikersrechten mogelijk te maken." Door ervoor te zorgen dat e-mailontvangers geauthenticeerd zijn, kunnen financiële instellingen voorkomen dat ongeautoriseerde gebruikers toegang krijgen tot gevoelige communicatie, waardoor de risico's van het verzenden van gevoelige informatie naar slecht beveiligde mailboxen of mailboxen zonder multi-factor authenticatie (MFA) worden verminderd.
Artikel 21, Access control, bepaalt dat financiële entiteiten een beleid moeten ontwikkelen, documenteren en implementeren dat "het gebruik van authenticatiemethoden bevat die in overeenstemming zijn met de classificatie zoals vastgesteld in artikel 8(1) van Verordening (EU) 2022/2554 en met het algehele risicoprofiel van ICT-activa, rekening houdend met toonaangevende praktijken."
Om te voldoen aan DORA moeten organisaties e-mails met gevoelige informatie beveiligen met MFA om de identiteit van ontvangers te verifiëren voordat toegang wordt verleend tot kritieke gegevens die via e-mail worden gedeeld. Dit voegt een extra beveiligingslaag toe om gevoelige informatie te beschermen tegen ongeoorloofde toegang.
Bewijs van veilige levering en geautoriseerde toegang
Het waarborgen van veilige leveringsbevestiging en toegang door de juiste personen is essentieel voor het behoud van operationele veerkracht, met name in de financiële sector waar naleving van regelgeving cruciaal is. Volgens artikel 14 van DORA moeten financiële entiteiten procedures ontwikkelen en implementeren die zorgen voor "de vertrouwelijkheid van gegevens tijdens netwerkoverdracht en de oprichting van procedures om naleving van die vereisten te beoordelen". Mechanismen voor veilige leveringsbevestiging, zoals ontvangstbewijzen of leesbevestigingen, kunnen organisaties helpen ervoor te zorgen dat de beoogde ontvanger de kritieke communicatie heeft ontvangen.
Artikel 12, logging, stelt dat financiële entiteiten, als onderdeel van de maatregelen tegen inbreuken en datamisbruik, loggingprocedures, protocollen en hulpmiddelen moeten ontwikkelen, documenteren en implementeren, die volgens paragraaf 2ci gebeurtenissen moeten bevatten met betrekking tot "logische en fysieke toegangscontrole, zoals bedoeld in artikel 21, en identiteitsbeheer."
In e-mailcommunicatie is het bewijs van veilige levering en geautoriseerde toegang bijzonder belangrijk bij het oplossen van conflicten, geschillen of het onderzoeken van mogelijke datalekken. Financiële instellingen moeten vaak kunnen aantonen dat gevoelige informatie bij de juiste ontvanger is afgeleverd en dat deze alleen is geopend door geautoriseerde partijen. Dit is vooral belangrijk in het geval van een datalek of wanneer er vragen zijn over de integriteit van de communicatie. Door bewijs van veilige levering te hebben, kunnen organisaties verantwoordelijkheid vaststellen, nalevingsinspanningen ondersteunen en mogelijke juridische of reputatierisico's beperken.
Voorkomen van dataverlies door menselijke fouten
Menselijke fouten blijven een van de meest voorkomende oorzaken van datalekken, vooral bij e-mailcommunicatie. DORA vereist dat financiële entiteiten beveiligingsmaatregelen implementeren die dataverlies voorkomen. Artikel 9, paragraaf 3c stelt dat organisaties ICT-oplossingen moeten gebruiken die "het gebrek aan beschikbaarheid, de aantasting van de authenticiteit en integriteit, de schendingen van vertrouwelijkheid en het verlies van gegevens voorkomen". Artikel 9, paragraaf 3d stelt expliciet dat deze ICT-oplossingen ook "beschermd moeten zijn tegen risico's die voortvloeien uit [...] menselijke fouten". Artikel 11, Paragraaf 2i stelt verder dat het gegevens- en systeembeveiligingsbeleid van de organisatie maatregelen moet bevatten voor "het identificeren en implementeren van beveiligingsmaatregelen om dataverlies en -lekkage voor systemen en eindpuntapparaten te voorkomen".
In de context van e-mailbeveiliging zijn menselijke fouten, zoals het versturen van e-mails naar verkeerde ontvangers of het delen van ongewenste bijlagen, de oorzaak van meer dan 95% van de datalekken en kunnen ze ernstige gevolgen hebben. Een effectieve strategie is het gebruik van Data Loss Prevention (DLP)-tools. Deze tools helpen organisaties bij het monitoren van uitgaande e-mails en bijlagen, zodat gevoelige informatie niet per ongeluk wordt gedeeld met ongeautoriseerde partijen. Door DLP-oplossingen te gebruiken die integreren met e-mailsystemen, kunnen financiële instellingen het risico op datalekken aanzienlijk verminderen en voldoen aan de strenge eisen voor gegevensbescherming van DORA. Daarnaast kan het opleiden van personeel over veilige e-mailpraktijken en het belang van het verifiëren van ontvangers het risico op dataverlies verder verkleinen.
Conclusie
De Digital Operational Resilience Act (DORA) legt uitgebreide eisen op voor de bescherming van ICT-systemen, met name met betrekking tot de uitwisseling van informatie via e-mail. Door zich te richten op classificatie, encryptie tijdens overdracht en in rust, ontvanger-authenticatie, veilige levering en bevestiging van geautoriseerde toegang, en het voorkomen van dataverlies door menselijke fouten, kunnen financiële entiteiten hun e-mailbeveiligingsniveau aanzienlijk verbeteren.
Naleving van DORA gaat niet alleen over het voldoen aan wettelijke vereisten; het gaat ook over het waarborgen van operationele veerkracht en het beschermen van de organisatie tegen de potentieel ernstige gevolgen van een datalek. Door de juiste maatregelen te implementeren, kunnen organisaties hun e-mailcommunicatie beveiligen, waardoor ze gevoelige financiële informatie beschermen en het vertrouwen van klanten en belanghebbenden behouden.
